Auswirkungen der neuen EU -Datenschutz-Grundverordnung auf Arbeitsmarktdienstleister und Bildungsträger

Die neue EU-Datenschutz-Grundverordnung (DSGVO) löst die veraltete Datenschutzrichtlinie 95/46/EG von 1995 ab. Im Unterschied zur Datenschutzrichtlinie gilt die DSGVO in unmittelbarer Anwendung ab 25.05.2018 in allen EU-Mitgliedstaaten. Daher bedarf es keiner Umsetzung in nationales Recht (Art. 288 Abs. 2 AEUV). Sie selbst
hat einen Umfang von 88 Seiten, einschließlich der Erwägungsgründe. Am 01.02.2017 hat die Bundesregierung einen 138-seitigen Gesetzesentwurf vorgelegt, das sog. Datenschutz-, Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU). Im Vordergrund des geplanten Gesetzes steht vor allem die Neufassung des Bundesdatenschutzgesetzes (BDSG n.F.). Es konkretisiert solche Bestimmungen, soweit die Datenschutzgrundverordnung dafür auch Öffnungsklauseln vorgesehen hat. Daneben sind weitreichende Bestimmungen zum Gesetz über den militärischen Abschirmdienst (MAD) und den Bundesnachrichtendienst (BND) vorgesehen. Dies verdeutlicht, welche Bedeutung dem Datenschutz in heutiger Zeit wirklich zukommt. Hackerangriffe, hybride Cyberattacken und Missbrauch von Datensätzen sind eine ernstzunehmende Gefahr in allen Branchen geworden. Inwiefern wirken sich die neuen Regelungen konkret auf Arbeitsmarktdienstleister und Bildungsträger aus?
Einerseits wird die Umsetzung der DSGVO von Arbeitsmarktdienstleistern und Bildungsträgern fordern, das Datenschutzniveau neu zu organisieren und deutlich zu intensivieren. Andererseits erhalten Bildungsteilnehmerinnen und -teilnehmer dadurch auch mehr Achtsamkeit und Wertschätzung durch den sorgsamen Umgang mit ihren sensiblen Daten. Datenschutz kann also ein Wettbewerbsvorteil sein.

Zertifizierungsverfahren im Datenschutz nach der DSGVO

Dies gilt umso mehr, als die DSGVO als gesetzliche Neuerung Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen vorsieht, die betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen sollen. Diese Zertifizierungen werden von akkreditierten Zertifizierungsstellen oder auch von Aufsichtsbehörden vergeben. Nach dem jetzigen Entwurf des BDSG wird in Deutschland die Deutsche Akkreditierungsstelle GmbH (DAkkS) diese Aufgabe übernehmen. Sie soll zusammen und in Abstimmung
mit den Aufsichtsbehörden ihre Entscheidungen über eine Zertifizierung treffen. Sobald die entsprechenden Verfahren etabliert sind, wird sich kein Arbeitsmarktdienstleister oder Bildungsunternehmen
einer Zertifizierung verschließen können. Es ist daher vorteilhaft, möglichst frühzeitig eine unternehmensinterne Beschäftigung mit den neuen datenschutzrelevanten Vorgaben – auch beim technisch-organisatorischen Datenschutz – durchzuführen.

Technisch-organisatorischer Pflichtenkanon

Nach der DSGVO steht die Gewährleistung von Datensicherheit an erster Stelle. Sämtliche Bildungsprodukte und Maßnahmen, alle Systeme und Prozesse müssen durchleuchtet werden. Die Unternehmen
sind verpflichtet, geeignete, nachweisbare technische wie auch organisatorische Vorkehrungen zu treffen und ihre IT-Technik und Software zur Datensicherheit laufend auf aktuellem
Stand zu halten. Privacy by Design oder Privacy by Default sind hier die Schlagworte. Investitionen sollten also, unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere des Risikos für
die persönlichen Rechte und Freiheiten der eigenen Vertragspartner, so bald wie möglich eingeplant werden. Gerade Arbeitsmarktdienstleister sind je nach Vorgaben in den Maßnahmen vertraglich verpflichtet, ihre Datenbestände mit den Auftraggebern auszutauschen; dies wird zukünftig nur noch online über verschlüsselte, sichere Verbindungen oder Pseudonymisierung rechtlich gangbar sein; geprüft werden muss auch, ob im Vorfeld die Einwilligungen der Betroffenen eingeholt werden müssen. Gewährleistet werden müssen absolute Vertraulichkeit, Integrität und Verfügbarkeit sowie Belastbarkeit der eingerichteten Systeme. So muss der gesamte Einsatz von Laptops, Smartphones etc. beleuchtet werden, insbesondere wenn das Equipment für betriebliche Zwecke vom Personal gestellt werden, siehe Bring your own device (»BYOD«). Als erste Maßnahme sollte der Datenschutzverantwortliche alle Prozesse mit Bezug zu sensiblen
Daten im Rahmen eines Risikomanagement-Reviews systematisch prüfen, um Sicherheitslücken und potenzielle Bedrohungen frühzeitig zu identifizieren und gegenzulenken.

Haftungsrisiken und Bußgelder nach der DSGVO

Angesichts der hohen Bußgelder von bis zu vier Prozent des jährlichen Umsatzes, sollten alle Unternehmer in den nächsten 15 Monaten bis zum Inkrafttreten eine Neubewertung des Umgangs mit personenbezogenen Daten vornehmen. Für Verstöße des Personals müssen Unternehmen nach der DSGVO einstehen. Ob Geldbußen auch gegen Mitarbeiter als solche verhängt werden können, wird der nationale Gesetzgeber regeln. Für die
Bemessung von Geldbußen soll voraussichtlich der Europäische Datenschutzausschuss als Gremium der Aufsichtsbehörden der EU-Mitgliedstaaten entsprechende Leitlinien entwickeln. Datenschutzverletzungen und Datenmissbrauch sind nach der DSGVO keine Kavaliersdelikte.

Arbeitnehmer und Honorarkräfte

Im Bereich des Arbeitsrechts könnten die Mitgliedstaaten weiterhin eigene, nationale Regelungen erlassen. In den Erwägungsgründen der DSGVO heißt es, dass die Vereinheitlichung des Rechts in diesem Bereich an ihre Grenzen stoße. Ein konzerninterner Datenaustausch ist nach der DSGVO neu als berechtigtes Interesse anerkannt. Regelungen zur Videoüberwachung finden sich bereits im BDSG-Entwurf. Neu ist der Umgang mit Auftragsverarbeitern und Subunternehmern. Sie können nur noch mit einer vorherigen schriftlichen Genehmigung des Verantwortlichen eingesetzt
werden. Andererseits müssen ihnen die dem Hauptauftrag entsprechenden Pflichten ebenfalls förmlich auferlegt werden. Dies gilt insbesondere auch für die IT-Pflichten. Als weitere Neuerung wird eine Pflicht zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten eingeleitet. Zuständig ist der Verantwortliche im Sinne des DSGVO. Daraus folgt aber auch, dass der Verantwortliche Maßnahmen zur Kontrolle aller Vereinbarungen vorhalten muss.

Bestellung eines Datenschutzbeauftragten

Ab Mai 2018 gilt europaweit die grundsätzliche Pflicht zur Bestellung eines Datenschutzbeauftragten für Unternehmen, deren Kerngeschäft die Überwachung und der Umgang mit personenbezogenen
Daten ist. Die DSGVO sieht vor, dass der Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten veröffentlichen und diese Daten zudem der Aufsichtsbehörde mitteilen muss. Ob Unternehmen letztlich einen internen oder externen Datenschutzbeauftragten einsetzen sollten, hängt von den unternehmensinternen Bedürfnissen und Anforderungen
ab. Bei Nichtbeachtung der Vorgaben der DSGVO kann ein sehr erhebliches Bußgeld verhängt werden; eine Haftung kann allerdings nur dann abgewendet werden, wenn der eingesetzte
Datenschutzbeauftragte die Erfüllung seiner Pflichten in concreto nachweisen kann. Nach dem BDSG-Entwurf sind nichtöffentliche Stellen u. a. dann verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigten. Dies dürfte bei Arbeitsmarktdienstleistern und Bildungsträgern der Regelfall sein.

Datenschutz-Folgeabschätzung

Die Datenschutz-Folgenabschätzung (DFSA) ähnelt einer Vorabkontrolle nach bestehendem Recht. Die DSFA ist durchzuführen,wenn beispielsweise die Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat oder automatisierte Verarbeitung von Daten auf der Basis eines Profilings geschieht, oder auch bei einer systematischen weiträumigen Überwachung öffentlich zugänglicher Bereiche. Mindestanforderungen hält die DSGVO ebenfalls vor.

Verarbeitung von Datenbeständen für interne Abwicklungen oder Marketingzwecke

Betroffene Personen erhalten nach der DSGVO deutlich erweiterte Beschwerde- und Rechtsschutzmöglichkeiten. Der Löschungsanspruch von Daten besteht nun auch im Recht auf Vergessen-Werden, wenn das Bildungsunternehmen z. B. die zu löschenden Daten öffentlich gemacht hat. Die betroffene Person kann auch die Einschränkung der Verarbeitung verlangen. Neu ist auch das Recht auf Datenübertragbarkeit als Ausprägung der Datensouveränität.Grundsätzlich besteht damit auch ein allgemeines Widerspruchsrecht gegen eine an sich rechtmäßige Verarbeitung von
personenbezogenen Daten. Der Verantwortliche darf die Daten nur dann verarbeiten, wenn er zwingende berechtigte Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten des Betroffenen überwiegen. Ein voraussetzungsloses und uneingeschränktes Widerspruchsrecht besteht bei der Datenverarbeitung zum Zweck des Direktmarketings.

Fazit
Bis zum 25.05.2018 müssen Arbeitsmarktdienstleister und Bildungsträger spätestens ihre IT-Organisation, Software-Lösungen und das gesamte Formularwesen an die neuen Vorgaben der DSGVO anpassen. Eine vorausschauende Planung erleichtert die Umsetzung der neuen Pflichten, die schließlich neben dem Tagesgeschäft bewältigt werden müssen.

Autorin:
Diplom-Ökonomin Brigitte Batke-Spitzer, M.A.
Erwachsenenbildung, Rechtsanwältin, Freiburg i. Br.
und Lörrach, externe Datenschutzbeauftragte
für Unternehmen und gemeinnützige Institutionen